Jupyterマルウェアの新しいバージョンは、MSIインストーラーを介して配布されます

ヘルガ・スミス九月 27, 2021最終更新: 九月 27, 2021
72 1 分読み

セキュリティ研究者 話しました Jupyterマルウェアの新しいバージョンについて, で知られている.NETプログラミング言語で書かれた情報スティーラー 攻撃 医療および教育機関のみ.

新しい感染連鎖, 情報セキュリティ会社の専門家によって発見された モルフィセック 9月に 8, 2021, マルウェアの進行中のアクティビティを確認するだけでなく, だけでなく、 “サイバー犯罪者が攻撃を開発し続けて、攻撃をより効果的でとらえどころのないものにする方法。”

11月に最初に文書化された 2020, インクルード ジュピター (としても知られている ソーラーマーカー) マルウェアはロシアの開発者によって作成されたとされており、Firefoxからデータを盗むように設計されています, ChromeおよびChromiumベースのブラウザ.

Jupyterは、主にChromiumをターゲットとする情報スティーラーです。, Firefox, およびChromeブラウザデータ. しかしながら, その攻撃チェーン, 配達, およびローダーは、完全なバックドア機能の追加機能を示します.Morphisecの研究者は書いた.

加えて, マルウェアは本格的なバックドアであり、データを盗んでリモートサーバーにアップロードすることができます, ペイロードのアップロードと実行. Morphisecによると, 5月からJupyterの新バージョンが登場し始めました 2020.

Jupyterの開発者は、侵害されたマシンについて可能な限り多くの情報を収集するために、元のJupyterを絶えず変更および補足しています。. このキャンペーンの最終的な目標はまだ明確ではありません, しかし理論的には, 盗まれたデータは販売に使用できます, ハッカーは、侵害されたマシンを企業のネットワークへのエントリポイントとして使用して、さらなる攻撃を行うことができます.研究者は書いています.

8月に 2021, Cisco Talos 専門家は攻撃を “本当に高度なスキルを持つ攻撃者, 主に資格情報やその他のデータを盗むことを目的としています。”

今年の2月に, サイバーセキュリティ会社 CrowdStrike マルウェアは多段階でパッケージ化されていると説明しました, 非常に難読化されたPowerShellローダー, これは、.NETでのバックドアの実行につながります.

以前の攻撃では、Docx2RtfやExpertPDFなどの有名なソフトウェアの正当なファイルが使用されていましたが, 最近発見された一連の感染症は、Nitro ProPDFアプリケーションの使用を開始しました.

攻撃は、展開することから始まります MSI 終わったインストーラー 100 サイズはMB, 攻撃者がアンチウイルスソリューションをバイパスできるようにする. インストーラーは、サードパーティのAdvancedInstallerアプリケーションパッカーを使用して難読化されています.

MSIが起動したら, PowerShellダウンローダーは、正規のNitroProに組み込まれて実行されます 13 ファイル, その2つのバージョンは、ポーランドの有効な会社からの本物のデジタル証明書で署名されています. 最後に, ローダーは、メモリ内の.NETJupyterモジュールをデコードして実行します.

私もその事実について話したことを思い出させてください Swarezトロイの木馬とドロッパーが偽装して配布されました 15 人気のゲーム.

タグ
ヘルガ・スミス九月 27, 2021最終更新: 九月 27, 2021
72 1 分読み

ヘルガ・スミス

ずっとコンピューターサイエンスに興味がありました, 特にデータセキュリティとテーマ, 現在と呼ばれている "データサイエンス", 10代前半から. 編集長としてウイルス駆除チームに参加する前に, 私はいくつかの企業でサイバーセキュリティの専門家として働いていました, Amazonの請負業者の1つを含む. 別の経験: 私はアーデン大学とレディング大学で教えています.

返信を残します

このサイトは、スパムを減らすためにアキスメットを使用しています. あなたのコメントデータが処理される方法を学びます.

トップに戻るボタン